ARTICLE
21 February 2025

To The Point: Datenschutzmonitor 07/2025

SA
Schoenherr Attorneys at Law

Contributor

Schoenherr Attorneys at Law logo
We are a full-service law firm with a footprint in Central and Eastern Europe providing local and international companies stellar advice. As the go-to legal advisor for complex commercial matters in the region, Schoenherr aims to use its proximity to industry leaders, in developing practical solutions for future challenges. We keep a close eye on trends and developments, which enables us to provide high quality legal advice that is straight to the point.
Mit richterlichem Beschluss kam es zu einer Offenlegung von Kommunikationsdaten aus der Mailbox eines Unternehmens.
Austria Privacy

To the Point:

Rechtsprechung des EGMR

EGMR 13.02.2025, 51409/19, Macharik/Tschechien

Schutz der Kommunikation, faires Verfahren

  • Mit richterlichem Beschluss kam es zu einer Offenlegung von Kommunikationsdaten aus der Mailbox eines Unternehmens. Dadurch konnten die E-Mail-Kommunikation und deren Inhalte einer mit dem Unternehmen in Kontakt stehenden Beschuldigten erlangt werden. Die E-Mail-Kommunikation diente als Hauptbeweismittel im gegen die Beschuldigte eingeleiteten Verfahren, in dem sie verurteilt wurde. Im Verfahren beantragte sie erfolglos die Entfernung der E-Mail-Kommunikation aus den Verfahrensakten, weil diese Nachrichten keine Kommunikationsdaten iSd im Beschluss angeführten Gesetzes seien. Die angerufenen innerstaatlichen Gerichte erachteten die Verwertung der E-Mail-Kommunikation als Beweismittel unter Heranziehung unterschiedlicher Gesetzesbestimmungen für rechtmäßig. Die Beschuldigte wendete sich an den EGMR und monierte eine Verletzung ihres Rechts auf Achtung des Privat- und Familienlebens gemäß Art 8 EMRK sowie des Rechts auf ein faires Verfahren gemäß Art 6 EMRK. Darüber hinaus machte sie Schaden- und Aufwandersatz geltend. Der EGMR bestätigte die Verletzung von Art 8 EMRK, lehnte aber das Begehren auf Schadenersatz ab und sprach einen Teil des Aufwandersatzes iHv EUR 2.500 zu. Der

    EGMR hat erwogen:
     Die Vertraulichkeit jeglicher privaten und beruflichen Korrespondenz wird von Art 8 EMRK umfasst. Ein Grundrechtseingriff ist nur zulässig, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist. Das Gesetz und etwaige Ermessensspielräume müssen hinreichend klar und nachvollziehbar formuliert sein. Die Sichtung von beruflichen E-Mails ist ein geringerer Eingriff in Art 8 EMRK als die Einsichtnahme in eine private Mailbox.

    Die innerstaatlichen Gerichte zogen drei Normen als potenzielle Rechtfertigung für den Eingriff in das Grundrecht heran, wobei die von den letztinstanzlichen Gerichten herangezogene Norm zum Zeitpunkt des Eingriffs in dieser Form noch nicht in Kraft war. Die Speicherung und Herausgabe der Kommunikation war nach den genannten innerstaatlichen Bestimmungen nicht erlaubt. Die Anwendung der Bestimmungen erfolgte durch die Gerichte in einer nicht nachvollziehbaren Weise. Der Eingriff in das Grundrecht war daher weder vorhersehbar noch gesetzlich vorgesehen. Die Verwendung von unzulässig erhobenen Beweisen ist keine Verletzung des Rechts auf ein faires Verfahren, wenn der Eingriff nur geringfügig ist und Verteidigungsrechte sonst beachtet werden.

    Den geltend gemachten Schadenersatz für die im Strafverfahren auferlegte Geldstrafe lehnte der EGMR mangels Kausalität zwischen der festgestellten Verletzung und dem geltend gemachten Schaden ab. Immateriellen Schadenersatz lehnte der EGMR ab, weil die Feststellung einer Grundrechtsverletzung eine ausreichende Entschädigung sei.


Rechtsprechung des EuGH

EuGH 13.02.2025, C-383/23, ILVA

Geldbuße, Unternehmensbegriff, Verhältnismäßigkeit

  • Das dänische Tochterunternehmen eines Konzerns speicherte zwischen Mai 2018 und Januar 2019 unrechtmäßig personenbezogene Daten von mindestens 350.000 ehemaligen Kunden. In Dänemark werden Geldbußen nicht von der Datenschutz-Aufsichtsbehörde verhängt, sondern auf Empfehlung der Aufsichtsbehörde von der Staatsanwaltschaft beim zuständigen Gericht beantragt. Die dänische Staatsanwaltschaft beantragte bemessen am Konzernumsatz eine Geldbuße iHv rund EUR 201.000. Das Erstgericht verhängte jedoch eine am Umsatz des Tochterunternehmens bemessene Geldbuße iHv rund EUR 13.400. Die Staatsanwaltschaft legte Berufung ein, weshalb das vorlegende Gericht den EuGH zur Auslegung des Begriffs "Unternehmen" in Art 83 Abs 4 bis 6 DSGVO befragte.

    Der EuGH hat erwogen: ErwGr 150 DSGVO verweist iZm der Berechnung von Geldbußen nach Art 83 Abs 4 bis 6 DSGVO auf den Begriff "Unternehmen" iSd Art 101 und 102 AEUV. Dieser Unternehmensbegriff umfasst jede eine wirtschaftliche Tätigkeit ausübende Einheit unabhängig von ihrer Rechtsform und Finanzierungsart.

    Nach Art 83 Abs 1 DSGVO stellt jede Aufsichtsbehörde sicher, dass Geldbußen nach Abs 4 bis 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Art 83 Abs 2 DSGVO verlangt zudem, dass die zuständige Aufsichtsbehörde bei der Entscheidung über das Verhängen einer Geldbuße eine Reihe von Kriterien (ua Art, die Schwere und die Dauer des Verstoßes) berücksichtigt.

    Diese Kriterien verweisen zwar nicht auf den Unternehmensbegriff iSd Art 101 und 102 AEUV, doch eine Geldbuße ist nur dann wirksam, verhältnismäßig und abschreckend, wenn sie nicht nur diese Kriterien, sondern auch die materielle Leistungsfähigkeit  des Adressaten berücksichtigt. Daher ist zu prüfen, ob der Adressat einem Unternehmen iSd Art 101 und 102 AEUV angehört.

    In bestimmten nationalen Rechtsordnungen, etwa der Dänemarks, sind keine Geldbußen vorgesehen. Gemäß Art 83 Abs 9 DSGVO kann in diesen Fällen die zuständige Aufsichtsbehörde die Geldbuße in die Wege leiten, während die nationalen Gerichte sie verhängen.

    Gemäß Art 83 DSGVO müssen die zuständigen Aufsichtsbehörden sicherstellen, dass bei der Berechnung der tatsächlichen Höhe  der verhängten Geldbuße der Grundsatz der Verhältnismäßigkeit  beachtet wird. Dies geschieht durch einen angemessenen Ausgleich  zwischen dem allgemeinen Interesse am Schutz personenbezogener Daten und den Rechten des Verantwortlichen, des Auftragsverarbeiters oder des Unternehmens, dem diese angehören.

    Auch wenn Verstöße gegen die DSGVO nicht mit administrativen, sondern mit von Strafgerichten verhängten Geldbußen geahndet werden, steht einer Anwendung des Begriffs "Unternehmen" iSd Art 101 und 102 AEUV im Rahmen von Art 83 Abs 4 bis 6 DSGVO nichts entgegen.

    Der Höchstbetrag einer Geldbuße gegen einen Verantwortlichen, der ein Unternehmen ist oder einem Unternehmen angehört, wird auf Basis eines Prozentsatzes des weltweiten Konzernumsatzes berechnet. Der Konzernumsatz ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen. Dadurch wird überprüft, ob die Geldbuße wirksam, verhältnismäßig und abschreckend ist.

EuGH 13.02.2025, C-612/23, Verbraucherzentrale Berlin

Telekommunikation, Mindestvertragslaufzeit

  • Eine Verbraucherzentrale erhob eine Unterlassungsklage gegen einen Telekomanbieter wegen deren Geschäftspraxis, die es Bestandskunden ermöglichte, vor Ablauf ihrer Erstverträge neue Folgeverträge mit einer Mindestlaufzeit von 24 Monaten abzuschließen. Die verbleibende Vertragslaufzeit der Erstverträge wurde dem neuen Vertrag hinzugerechnet. Nach Ansicht der Verbraucherzentrale verstieß dies gegen Art 30 der UniversaldienstRL, nach der keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten vereinbart werden darf. Das vorlegende Gericht fragte den EuGH, ob der Begriff "anfängliche Mindestvertragslaufzeit" auch auf Verlängerungsverträge anzuwenden sei, was der EuGH bejahte.

    Der EuGH hat erwogen: Die UniversaldienstRL ist in der Zwischenzeit durch den europäischen Kodex für die elektronische Kommunikation (EKEK; Richtlinie [EU] 2018/1972) aufgehoben worden. Auf den Ausgangssachverhalt ist aber noch die UniversaldienstRL anzuwenden.

    Art 30 Abs 5 UniversaldienstRL bestimmte, dass Verträge zwischen Verbrauchern und Unternehmen, die elektronische Kommunikationsdienste erbringen, keine anfängliche Mindestvertragslaufzeit von mehr als 24 Monaten beinhalten dürfen. Der Begriff "anfängliche Mindestvertragslaufzeit" bezieht sich sowohl auf die Laufzeit des Erstvertrags als auch auf die Laufzeit eines Folgevertrags zwischen denselben Parteien. Ein Folgevertrag darf keine Mindestvertragslaufzeit von mehr als 24 Monaten haben, auch wenn er vor Ablauf des Erstvertrags unterzeichnet und in Vollzug gesetzt wurde.

    Die Festlegung zumutbarer Mindestlaufzeiten in Verbraucherverträgen ist nicht ausgeschlossen, darf aber nicht mehr als 24 Monate betragen. Der Unionsgesetzgeber wollte keine Unterscheidung zwischen Erst- und Folgeverträgen treffen. Ein Vergleich der Sprachfassungen der UniversaldienstRL bestätigt diese Auslegung. Der Schutz der Verbraucher war zentrales Ziel dieser RL und dieser darf nicht geringer sein, wenn ein Verbraucher Änderungen eines Vertrags mit einem Anbieter zustimmt, als wenn er erstmals eine Bindung mit einem neuen Anbieter eingeht. Dies gilt insbesondere, wenn der Folgevertrag wesentliche Änderungen gegenüber dem Erstvertrag enthält, wie etwa Preisgestaltung oder Leistungsinhalt.


Rechtsprechung der VwGH

  • Die Anordnung des Art 7 Abs 3 DSGVO, dass der Widerruf so einfach sein müsse, wie die Erteilung der Einwilligung zur Verarbeitung personenbezogener Daten, ist nicht weiter auslegungsbedürftig. Die Frage, wie ein Cookie-Banner zu gestalten ist, ist jeweils anhand der für den Einzelfall maßgeblichen Umstände zu prüfen, weshalb diese Frage nicht revisibel ist (VwGH 16.01.2025, Ra 2024/04/0424).
     
  • Gegenstand des Auskunftsverfahrens ist die Verletzung der Auskunftspflicht aufgrund eines bestimmten Auskunftsersuchens. Die Rechtswirksamkeit des Auskunftsersuchens ist somit Voraussetzung für eine Verletzung der Auskunftspflicht. Eine Nachholung des den Beschwerdegegenstand bildenden Auskunftsersuchens erst im datenschutzrechtlichen Verfahren ist nicht möglich, weil es sich bei der Stellung eines rechtswirksamen Auskunftsersuchens um die tatbestandsmäßige Voraussetzung dafür handelt, dass die (potenziell) Betroffene überhaupt in ihrem Recht verletzt werden konnte. Durch diese Sichtweise entsteht kein Rechtsschutznachteil, weil jede (potenziell) Betroffene grundsätzlich jederzeit ein neues Auskunftsersuchen an den Verantwortlichen richten kann (VwGH 10.12.2024, Ra 2022/04/0107).


Rechtsprechung der Justiz

  • Die Behandlung von Erneuerungsanträgen in Strafverfahren ist auf die Prüfung der Verletzung eines Rechts nach der EMRK oder ihrer Zusatzprotokolle beschränkt. Die Bestimmungen des § 110 Abs 1 Z 1 und Abs 2 StPO sowie des § 111 Abs 2 StPO zur Mobiltelefonauswertung wurden mit Erkenntnis des VfGH als verfassungswidrig wegen Verstoßes gegen § 1 Abs 2 DSG iVm Art 8 Abs 2 EMRK aufgehoben. Wie der VfGH ausgesprochen hat, blieben diese aufgehobenen Bestimmungen jedoch aufgrund der gemäß Art 140 Abs 5 B-VG gesetzten Frist bis zum Ablauf des 31.12.2024 in Kraft. Sie waren daher zum Zeitpunkt der Entscheidung durch das Berufungsgericht anzuwenden (OGH 22.01.2025, 13Os105/24a).
     
  • Die DSGVO gibt keine bestimmte Form für den Identitätsnachweis im Rahmen eines Auskunftsersuchens vor. Auch eine in diesem Zusammenhang erteilte Vollmacht muss daher nicht handschriftlich iSd § 886 ABGB sein. Bestehen begründete Zweifel an der Identität oder Vollmacht, muss der Verantwortliche dem Betroffenen seine konkreten Bedenken mitteilen. Die pauschale Ablehnung  der Auskunft ist unzulässig (OLG Linz 06.02.2025, 6R10/25w).


Rechtsprechung des BVwG

BVwG 13.01.2025, W137 2304495-1

Video, Servitut, Datenminimierung

  • Zwei Grundstückseigentümer installierten eine Videokamera am Hauseingang, die auch einen Teil des von den Servitutsberechtigten genutzten Geh- und Fahrtwegbereich erfasste. Die Servitutsberechtigten erachteten sich in ihrem Recht auf Geheimhaltung verletzt und erhoben Datenschutzbeschwerde bei der DSB. Diese gab der Datenschutzbeschwerde statt und trug den Grundstückseigentümern auf, den Aufnahmebereich so einzuschränken, dass der Geh- und Fahrtwegbereich nicht mehr zu sehen ist. Gegen diesen Bescheid erhoben die Grundstückseigentümer (erfolglose) Bescheidbeschwerde an das BVwG.

    Das BVwG hat erwogen: Der Zweck der Videoüberwachung besteht grundsätzlich darin, das Grundstück der Grundstückseigentümer zu überwachen und ist als solcher berechtigt. Zwar besteht für die Grundstückseigentümer ein berechtigtes Interesse am Schutz ihres Eigentums iSd Art 6 Abs 1 lit f DSGVO, allerdings überwiegt das Interesse der Servitutsberechtigten am Schutz ihres Privat- und Familienlebens bei der zweckmäßigen Nutzung ihrer Servitut.

    Zudem haben die Grundstückseigentümer gegen den Grundsatz der Datenminimierung iSd Art 5 Abs 1 lit c DSGVO verstoßen, weil der Schutz ihres Eigentums auch dann erreicht werden könnte, wenn die Videokamera so positioniert wäre, dass diese nur den Eingangsbereich ihres Hauses überwacht.


Aus der weiteren Rechtsprechung des BVwG:

  • Bestimmt die DSB irrtümlich den falschen Beschwerdegegner als Verantwortlichen, ist der Bescheid ersatzlos zu beheben. Wird ein Sachverhalt sowohl von einem Betroffenen als auch von der DSB aufgegriffen, um in einem Verfahren überprüft zu werden, führt dies zu keiner res iudicata (BVwG 10.01.2025, W252 2271738-1).
     
  • Sind vor dem BVwG eine erhebliche Anzahl von Verfahren anhängig, in welchen dieselbe(n) Rechtsfrage(n) zu beantworten sind, die über eine Revision auch beim VwGH anhängen, kann das BVwG diese Verfahren mit Beschluss aussetzen (BVwG 10.01.2025, W291 2261757-122.01.2025, W108 2288262-1).


EU-Rechtsakte

  • Am 13.02.2025 wurde die "Delegierte Verordnung (EU) 2025/295 der Kommission vom 24. Oktober 2024 zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Harmonisierung der Bedingungen für die Durchführung von Überwachungstätigkeiten", ABl L 2025/295, 1, kundgemacht. Mit dieser DelegiertenVO ergänzt die Kommission die "VO (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor ..." (kurz: DORA) und legt fest, welche Informationen sog IKT-Drittdienstleister zur Verfügung zu stellen haben.
     
  • Zur Ergänzung der "VO (EU) 2023/1114 des Europäischen Parlaments und des Rates vom 31. Mai 2023 über  Märkte für Kryptowerte..." (kurz: MiCAR) erließ die Kommission fünf Delegierte Verordnungen. Am 13.02.2025 wurden die DelegierteVO (EU) 2025/292, ABl L 2025/292, 1; DelegierteVO (EU) 2025/296, ABl L 2025/296, 1; DelegierteVO (EU) 2025/297, ABl L 2025/297, 1; DelegierteVO (EU) 2025/298; ABl L 2025/298, 1; DelegierteVO (EU) 2025/299, ABl L 2025/299, 1, kundgemacht. Ergänzt wird die MiCAR durch mehrere technische Regulierungsstandards.
     

Nationale Rechtsakte

  • Am 10.02.2025 wurde das FATF-Prüfungsanpassungsgesetz 2024BGBl I 2025/5, kundgemacht. Mit dem FATF-Prüfungsanpassungsgesetz wurde das Sanktionengesetz 2024 erlassen sowie ua das BWG, das FMABG und das KontRegG novelliert. Geregelt wird ua die Verarbeitung personenbezogener Daten durch die zuständigen Behörden zur Umsetzung von Sanktionsmaßnahmen.
     
  • Am 14.02.2024 wurde die "Verordnung des Bundesministers für Kunst, Kultur,  öffentlichen Dienst und Sport, mit der die  BMKÖS-Datenaufbewahrungsverordnung  geändert wird", BGBl II 2025/18, kundgemacht. Mit dieser V werden bestimmte Aufbewahrungspflichten bei der Verarbeitung der Daten von Beamten im Vergleich zu den Regelungen des § 280a BDG herab- oder heraufgesetzt.


Vorschau EuGH-Rechtsprechung

  • Am 27.02.2025 wird das Urteil des EuGH in der Rs C-203/22, Dun & Bradstreet Austria, verkündet. Der EuGH wird entscheiden, in welchem Umfang eine Auskunft gemäß  Art 15 Abs 1 lit h DSGVO (automatisierte Entscheidung) zu erteilen ist. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.
     
  • Am 27.02.2025 wird das Urteil des EuGH in der Rs C-638/23, Amt der Tiroler Landesregierung, verkündet. Der EuGH wird Fragen des VwGH zur Rolle von öffentlichen Stellen in der Datenverarbeitung beantworten. Anm: Dem Urteil sind keine Schlussanträge vorangegangen.
     
  • Am 27.02.2025 werden die Schlussanträge in der Rs C-57/23, Policejní prezidium, veröffentlicht. Gegenstand des Verfahrens ist die Zulässigkeit der Verarbeitung von genetischen Daten und DNA-Profilen für den Zweck der strafrechtlichen Verfolgung.
     
  • Am 27.02.2025 werden die Schlussanträge in der Rs C-654/23, Inteligo Media, veröffentlicht. Gegenstand des Verfahrens sind der Versand eines elektronischen Newsletters und das Verhängen einer Geldbuße.
     
  • Am 13.03.2025 wird das Urteil des EuGH in der Rs C-247/23, Deldits, verkündet. Der EuGH wird darüber absprechen, ob ein nationales Register ggf den Geschlechtseintrag einer Person zu berichtigen hat. Anm: Die Zusammenfassung der Schlussanträge können Sie im Schönherr Datenschutzmonitor vom 18.09.2024 nachlesen.
     
  • Am 20.03.2025 werden die Schlussanträge in der Rs C-655/23, Quirin Privatbank, veröffentlicht. Gegenstand des Verfahrens sind immaterieller Schadenersatz nach Art 82 DSGVO und Unterlassungsansprüche.
     
  • Am 20.03.2025 wird die mündliche Verhandlung in der Rs C-327/24, Lolach, stattfinden. Gegenstand des Verfahrens sind Zugangsverpflichtungen im  Telekommunikationsrecht.

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More